INTELLIGENZA ARTIFICIALE: è diventata un mezzo di truffa?

Il “Vishing” e le truffe generate con l’AI.

A tutti è sicuramente capitato di sentire un amico, un collega o un raccontare di aver subito un tentativo di frode (che talvolta viene completato con successo, causando gravi danni economici e/o reputazionali alla persona offesa).

Tra queste truffe, le più note sono:

• Un SMS che recita: “Ciao Papà/Ciao Mamma, ho rotto il telefono. Questo momentaneamente è il mio nuovo numero. Puoi salvarlo e scrivermi su Whatsapp? https//…”
• Un SMS dalla Banca che avvisa: “Gentile Cliente, la Sua carta sta per essere bloccata. La invitiamo a visitare il nostro sito web ______… per aggiornare i suoi dati.”
• Un’e-mail dalle Poste o dal Corriere che dice: “Gentile (nome), la sua spedizione è in fase di consegna, ma i dati non sono corretti. Clicchi sul seguente link per rettificarli http//bitly….”
• Ricevere una e-mail del (finto) datore di lavoro che chiede di fare urgentemente un bonifico di diverse migliaia di euro ad un conto non noto.

Degli studi condivisi dall’Europol a marzo 2023 circa gli emergenti tentativi di frode dimostrano come molti attacchi si basano sulla cosiddetta ingegneria sociale, che, tramite lo studio del comportamento umano, permette di indurre più facilmente gli utenti a rivelare informazioni confidenziali (password, dati sensibili, …).

Insomma, queste manovre di phishing diventano sempre più convincenti, in quanto di basano sulla fiducia e sulla capacità di sembrare reali e possono essere modificati e perfezionati all’infinito.

Il rapporto statunitense degli “Scam” creati autonomamente da ChatGPT-4o

Proprio a cavallo tra fine ottobre e i primi giorni di novembre del corrente anno, un gruppo di ricercatori dell’Università dell’Illinois (USA) ha pubblicato uno studio (intitolato “Voice-Enabled AI Agents can Perform Common Scams”) che dimostra la predisposizione delle nuove Intelligenze Artificiali ad essere sfruttate dai criminali per mettere a segno truffe principalmente di carattere finanziario con tassi di successo da moderati ad alti.

Questo documento simula una truffa bancaria tramite l’API (“Application Programming Interface” o “Interfaccia di Programmazione dell’Applicazione”) vocale di GPT-4.o, il nuovo modello avanzato di OpenAI., la quale è stata progettata per gestire interazioni conversazionali (con deepfake di audio e video!) in tempo reale tra una persona e un modello generato dall’interfaccia IA.

Il fattore più preoccupante consiste nel fatto che ChatGPT può compiere in via del tutto autonoma ogni azione richiesta per portare a termine la frode.

Secondo gli studi menzionati poco sopra, le percentuali di successo di questi tentativi di “vishing” condotti con l’Intelligenza Artificiale possono raggiungere anche il 60%… Un tasso estremamente elevato, che sta destando molta preoccupazione.

Le dichiarazioni di OpenAI e le nuove misure di GPT4o1

Per cercare di rassicurare gli utenti e le potenziali vittime di queste truffe, un rappresentante che porta il vessillo di OpenAI ha dichiarato pochi giorni fa che sono in corso diverse migliorie alla versione di ChatGPT-4o1, affinché questa diventi impermeabile ai tentativi deliberati di generare truffe e, più in generale, contenuti non sicuri.

Alcuni utenti, però, hanno già sollevato diverse obiezioni, sostenendo che i controlli proposti non sono sufficienti a mitigare gli abusi, in quanto risulterebbero facilmente aggirabili attraverso semplici tecniche di c.d. “jail-breaking”.

Chi ha già utilizzato ChatGPT o strumenti affini sa che il modo in cui viene riformulata una richiesta può portare ad una risposta completamente diversa da parte dell’Intelligenza Artificiale.

Insomma, eludere queste misure di sicurezza potrebbe non essere così difficile per i malintenzionati più accaniti.

Come riconoscere e respingere queste truffe

Ecco alcuni spunti per tutelarsi da queste AI-Threats:

• Informarsi e tenersi aggiornati sulle nuove evoluzioni dei servizi AI (utilizzando fonti attendibili);
• Non cliccare mai su link sospetti e verificare preventivamente, utilizzando un altro canale,l’affidabilità della richiesta (ad esempio: se arriva un link dal fornitore delle vostre utenze di energia elettrica con un numero di telefono insolito, verificate con il fornitore contattandolo tramite canali noti e attendibili);
• Prestare attenzione alle richieste con carattere di estrema urgenza (ad esempio: la banca chiede le credenziali immediatamente e per telefono; oppure l’amm. delegato invia una e-mail dicendo di sbloccare subito dei fondi);
• Fare caso ad “errori” nelle foto/video o nelle tracce audio ricevute… l’intelligenza artificiale è avanzata, ma non perfetta (ancora…).

In buona sostanza, possiamo dire che, oggi più che mai, fidarsi bene, ma non fidarsi è meglio!

Dott.ssa Matilde Grassi

Nis2: quali responsabilità per gli organi apicali?

Un aspetto fondamentale della direttiva nis2 e del relativo decreto attuativo (d.lgs 138/24) è quello relativo alle responsabilità degli organi amministrativi e direttivi dei soggetti essenziali e dei soggetti importanti.
La sensibilizzazione e la formazione parte da loro in quanto solo partendo dall’alto si può arrivare a sensibilizzare e formare l’intera organizzazione aziendale e tutti i soggetti che la compongono.

E cosa significa ciò? L’approvazione delle modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica è l’ultimo (e non il primo!) tassello dell’iter di implementazione che parte dal coinvolgimento dei vertici apicali nell’intero processo di risk assessment riguardante l’azienda. Non si può pensare di approvare qualcosa che non si conosce e che non si è contribuito a creare e a far crescere ed implementare. Altrimenti si finisce, come si fa di solito, per delegare in toto delle attività per le quali si risponde senza avere sott’occhio tutto l’iter di implementazione delle stesse.
E, a questo proposito, ci viene in aiuto la lettera b) dell’art. 23 d.lgs 138/24 che ci dice che gli organi amministrativi e direttivi sovrintendono all’implementazione degli obblighi di cui al decreto medesimo.
E cosa vuol dire sovraintendere? Il decreto usa, non a caso, il verbo sovraintendere proprio per indicare una partecipazione consapevole e matura nell’implementazione degli obblighi. Il ruolo, in questo caso, è un RUOLO ATTIVO e PROATTIVO, è un ruolo di scelta, di responsabilità, di consapevolezza e di conoscenza dei processi aziendali che possono portare e causare rischi informatici e non solo.
Proprio per questo alla lettera c) sempre dell’articolo 23 del decreto si dice che questi soggetti sono responsabili delle violazioni di cui al presente decreto.
L’iter, almeno sulla carta, è semplice: prima gli organi amministrativi e direttivi approvano il piano di gestione del rischio e del piano di implementazione delle misure tecniche, operative e organizzative poi sovraintendono alla loro corretta applicazione con le consuete procedure e modalità utilizzate in azienda (deleghe, redazione mansionari, policy sui ruoli ecc) e infine rispondono per ciò su cui erano tenuti a sovraintendere.

Gli organi apicali dovranno, quindi, implementare tutte le policy e le procedure necessarie in un’ottica di sistema integrato che tenga conto di tutte le norme vigenti che si dovranno coordinare l’una con l’altra. A titolo meramente esemplificativo si ricordano le norme ISO quali la 27001:2022 sulla sicurezza delle informazioni, il GDPR in tema di trattamento dei dati personali, le norme giuslavoristiche, il decreto 231/01 nonché ogni altra norma di rifermento che abbia la necessità di essere coordinata con le altre.

Avv. Clementina Baroni

Nis2 e la necessità di una compliance integrata e coordinata.

Come sappiamo il 16 gennaio 2023 è entrata in vigore la direttiva NIS2 e il 17 ottobre 2024 è il termine per il recepimento della NIS2 da parte degli Stati membri. Le disposizioni di quest’ultima troveranno piena applicazione a decorrere dal 18 ottobre 2024.

La direttiva NIS2 ha, come sappiamo, lo scopo di garantire un livello elevato di cybersicurezza all’interno dell’Unione europea.

La cybersicurezza è un obiettivo primario e fondamentale che ogni azienda si deve dare, gestendo la propria organizzazione interna e facendo sì che la stessa sia coordinata non solo con la normativa in tema di sicurezza informatica ma con tutte le altre normative che possono coinvolgere l’azienda.

E quali normative possono coinvolgere l’azienda?

Le normative che si prenderanno in considerazione in questo articolo sono solamente le principali e sono quelle che coinvolgono il trattamento dei dati, la sicurezza degli stessi, la sicurezza delle informazioni e i comportamenti illeciti che potrebbero derivare da un’errata applicazione di dette normative.

La prima normativa che dev’essere presa in considerazione in questo approccio integrato è senza dubbio il GDPR, cioè il regolamento europeo in tema di trattamento dei dati.

Altra normativa di fondamentale importanza è la ISO 27001:2022 in tema di sicurezza delle informazioni.

Non sarà concepibile implementare la documentazione e le policy NIS2 senza tenere conto di queste normative e senza tenere conto dei principi fondamentali in esse contenuti e degli strumenti di lavoro che le stesse offrono.

Questo perché in azienda tutti trattiamo dati (anche se molti ancora sembra che non se ne rendano conto!). Molti sono dati personali (pensiamo al nome, al cognome, alla mail, ai dati di contatto, ai dati che lasciamo quando accediamo ad un sito web ecc.). Spesso trattiamo dati particolari, quindi dati particolarmente sensibili (ad esempio alcuni dati dei dipendenti, ma non solo). Altre volte abbiamo a che fare con informazioni che magari non contengono dati ma che hanno comunque un’importanza fondamentale per la vita dell’azienda (si pensi a progetti particolari, brevetti, contratti – che peraltro possono contenere dati – o altre informazioni anche informatiche che fanno parte del patrimonio informativo aziendale).

Tutti questi dati e informazioni possono essere trattati sia in modalità cartacea che in modalità informatica e devono essere trattati in modo sicuro, trasparente e corretto.

E questo è il primo appiglio di collegamento.

Nella redazione della mia documentazione, delle mie procedure GDPR e 27001 (qualora abbia adottato in azienda questo sistema di gestione), andrò a coordinare il tema del trattamento di tutti questi dati e di queste informazioni con le policy NIS2 che mi consentiranno di implementare, monitorare, verificare e aggiornare costantemente le misure di sicurezza tecniche, operative ed organizzative adottate dall’azienda.

Queste procedure andranno, altresì, coordinate con altre normative fondamentali, quali per esempio il d.lgs. 231/01 in tema di responsabilità amministrativa. Detta normativa contempla vari reati presupposto e tra questi si annovera l’accesso abusivo ai sistemi informatici.

Orbene, recentemente la Cassazione con sentenza nr. 40295 del 2022 ha riconosciuto il reato di accesso abusivo ad un sistema informatico per un dirigente che si era fatto dare le password da un suo collaboratore sottoposto per accedere ai dati e questo senza un’autorizzazione da parte del datore di lavoro.

Detta prassi errata è abbastanza consolidata nelle aziende dove i vertici apicali (e a scalare anche i ruoli subordinati) credono di poter accedere dove vogliono e ai dati che vogliono, anche utilizzando credenziali altrui senza autorizzazione.

Detto comportamento, abbiamo detto, è completamente errato in quanto le credenziali di accesso sono chiavi personali e se il titolare le attribuisce ad un soggetto o a più soggetti è perché solo quei soggetti, e non altri, vi possono accedere.

Si aggiunga che gli accessi, il più delle volte, sono tracciati tramite dei file di log e il file di log, in tal caso, risulterebbe associato al soggetto dotato della relativa chiave di accesso. In tal modo, quindi, emergerebbe falsamente che l’accesso fosse stato operato dalla dipendente quando in realtà veniva effettuato dal dirigente.

Sembrano concetti scontati e banali, quando in realtà ripetutamente ci si scontra con queste situazioni.

E in un caso come questo come si sarebbe potuti intervenire ex ante per rispettare la NIS2, il GDPR e la ISO 27001?

Per esempio prevedendo una procedura organizzativa accurata e dettagliata sugli accessi e sui diritti di accesso, sull’attribuzione corretta delle credenziali di accesso (c.d. password), nonché una procedura legata ai ruoli aziendali. Si poteva, altresì, implementare un regolamento sui sistemi informatici per dare istruzioni operative ai soggetti coinvolti. Infine, stabilire misure di sicurezza tecniche efficaci atte a dimostrare l’applicazione corretta della procedura (ad esempio monitoraggio dei log di accesso, attribuzione di credenziali sicure e protette ecc.).

E si potrebbe continuare coordinando le procedure che abbiamo elencato con le normative vigenti in tema di diritto del lavoro (procedure disciplinari, redazione di mansionari ecc.) in modo da garantire la conformità anche a questa normativa.

Infine, ma non di minore importanza, formare tutti i soggetti sul rispetto delle procedure redatte e sulle normative in essere.

Conclusione

Se si vuole attuare un sistema aziendale efficace ed efficiente, non è più possibile prescindere, nella redazione di tutte le procedure e policy, da un’analisi comparata ed accurata di tutte le normative applicabili.

Il tutto dev’essere accompagnato da una formazione e sensibilizzazione costante per tutte le figure aziendali, partendo dai vertici apicali e a seguire a tutte le posizioni subordinate.

Avv. Clementina Baroni

L’importanza dell’atto di nomina a Responsabile del trattamento ai sensi dell’articolo 28 del GDPR

La compliance al GDPR richiede una corretta gestione dei rapporti tra Titolare e Responsabile del trattamento. In questo articolo, esploreremo l’importanza dell’atto di nomina a Responsabile del trattamento ai sensi dell’articolo 28 del GDPR e forniremo indicazioni utili per entrambe le parti coinvolte.

L’importanza dell’atto di nomina a Responsabile del trattamento

Una volta superata la fase di qualificazione dei fornitori e dopo aver scelto il fornitore che presenta garanzie adeguate alla tipologia di attività commissionata, è necessario regolamentare questo rapporto ai fini privacy tramite un apposito accordo.

L’articolo 28 del GDPR

L’articolo 28, comma 3 del Reg. UE 679/2016 (“GDPR”) recita quanto segue:

“I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. […]”.

L’accordo tra Titolare e Responsabile

Sebbene questo atto venga spesso dimenticato, l’articolo 28 del GDPR che abbiamo appena letto ci insegna l’importanza della regolamentazione del rapporto esistente tra un Titolare e il suo Responsabile nel mondo del trattamento dei dati personali.

Questo tipo di accordo permette di normare alcuni aspetti fondamentali sulle modalità di trattamento applicate dai soggetti coinvolti, come ad esempio: quali tipi di dati possono essere trattati e per quali finalità, quali misure di sicurezza devono tutelare i dati coinvolti, per quanto tempo questi possono essere conservati e così via.

Clausole Contrattuali Tipo e personalizzazione

Sebbene siano state formulate delle Clausole Contrattuali Tipo dalla Commissione Europea (citate per la prima volta nella Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) è fondamentale che il c.d. DPA (Data Protection Agreement) venga stipulato ad hoc, seguendo le specifiche esigenze derivate dalle attività di trattamento che il Responsabile effettua per conto del Titolare.

Le suddette clausole standard possono essere utilizzate in via complementare, per integrare disposizioni che non dovessero essere regolamentate direttamente nell’atto di nomina ex art. 28 GDPR mediante apposita clausola di rinvio, e/o come fac simile iniziale sulla base del quale redigere il proprio accordo.

Indicazioni per Titolari e Responsabili

Se osserviamo questo rapporto giuridico dal lato del Titolare del trattamento, è fondamentale redigere un atto di nomina sufficientemente tutelante e nel quale vengano esposti in maniera dettagliata tutti gli aspetti citati dall’articolo 28 GDPR citato all’inizio di questo articolo.

Se, invece, ci troviamo a rivestire il ruolo di Responsabile del Trattamento (o Sub-Responsabile!) è bene che verifichiamo attentamente il contenuto di tutti gli accordi che ci pervengono, per verificare che non dispongano obblighi eccessivamente gravosi e/o non previsti dalla normativa.

Hai bisogno di assistenza?

La redazione di un atto di nomina a Responsabile del trattamento conforme all’articolo 28 del GDPR può essere complessa e richiede una conoscenza approfondita della normativa. Se dovessi aver bisogno di aiuto per creare o esaminare le nomine, il nostro team di esperti è a tua disposizione.

Contattaci per una consulenza personalizzata e per garantire che il rapporto tra Titolare e Responsabile del trattamento sia regolamentato in modo appropriato e conforme al GDPR. Non lasciare nulla al caso quando si tratta di protezione dei dati personali: affidati a professionisti competenti e preparati.

Dott.ssa Matilde Grassi

Curriculum Vitae e trattamento dei dati: sei sicuro di trattarli in modo corretto?

Nella gestione delle risorse umane, il curriculum vitae è uno strumento fondamentale per valutare le competenze e l’esperienza dei candidati. Tuttavia, essendo un documento che contiene dati personali, è essenziale trattarlo in modo corretto e lecito, in conformità con le normative sulla privacy.

Il curriculum vitae e la privacy

Il curriculum vitae è un documento che contiene dati personali e che va trattato correttamente e in modo lecito.

Se il curriculum contiene la dichiarazione “autorizzo il trattamento dei miei dati personali ai sensi del gdpr” posso dormire sonni tranquilli o devo comunque fare qualcosa?

Attenzione perché la normativa è cambiata e ora la vediamo insieme.

Le novità introdotte dal Decreto Legislativo 101/2018

Il Decreto Legislativo 10 agosto 2018, n.101, emesso successivamente all’entrata in vigore del GDPR, ha introdotto nel Codice della privacy l’art. 111-bis, che riporta le “informazioni in caso di ricezione di curriculum”.

In questo articolo si specifica che, qualora vengano ricevuti dei curricula spontaneamente trasmessi al fine dell’instaurazione di un rapporto di lavoro, le informazioni di cui all’art. 13 del Regolamento Europeo 679/2016 (GDPR) devono essere fornite dal datore di lavoro al momento del primo contatto utile, successivo all’invio del CV.

Ecco la prima informazione UTILE!

Cosa fare quando si riceve un curriculum?

Non sarà dunque necessario l’inoltro “automatico” di un’informativa ad ogni ricezione di curriculum.

L’informativa la renderò al primo contatto utile appunto, per esempio al colloquio, in un successivo scambio di mail ecc.

L’informativa dovrà contenere gli elementi di cui all’art. 13 GDPR, tra cui: le modalità di trattamento dei dati personali, eventuali destinatari o categorie di destinatari (es. agenzie/società specializzate nella selezione del personale), il periodo di conservazione dei dati personali e le informazioni relative all’esercizio dei diritti degli interessati, nonché ogni altra informazione prevista nell’articolo indicato.

Il consenso non è più necessario

Inoltre, ai sensi dell’art. 111-bis del novellato Codice Privacy, il consenso non sarà più dovuto nel caso in cui il trattamento sia necessario all’esecuzione di misure contrattuali/precontrattuali adottate su richiesta dell’interessato (art. 6, par. 1, lett. b).

Cosa significa questo? Che la dicitura riportata sotto ai curriculum attuali (praticamente tutti!!) con la dicitura “acconsento al trattamento dei miei dati personali” non vale assolutamente NULLA!!

Sarà il titolare del trattamento, in un’ottica di accountability, a fornire l’informativa e a trattare i dati conformemente al GDPR.

Come gestire correttamente i curriculum nella tua azienda?

E tu sei sicuro di gestire correttamente i curriculum che prevengono alla tua azienda?

Se non lo sei CONTATTACI. Ricorda prevenire è meglio che prendere delle sanzioni.

In sintesi, il trattamento dei curriculum vitae richiede attenzione e conformità alle normative sulla privacy. La semplice dicitura “acconsento al trattamento dei miei dati personali” non è più necessaria. È responsabilità del titolare del trattamento fornire un’adeguata informativa e gestire i dati in linea con il GDPR.

Se hai dubbi sulla corretta gestione dei curriculum nella tua azienda, contattaci. Il nostro team di esperti è pronto ad assisterti per garantire la conformità alle normative e prevenire eventuali sanzioni. Ricorda, prevenire è sempre meglio che curare!

Avv. Clementina Baroni

Il tuo sito è conforme al GDPR? Scopri perché è importante e come proteggere i dati dei tuoi utenti.

La conformità al GDPR è un aspetto fondamentale per tutti i siti web che raccolgono e trattano dati personali degli utenti. In questo articolo, esploreremo i motivi per cui il tuo sito deve essere conforme al GDPR e forniremo esempi pratici di situazioni in cui i dati personali possono essere raccolti attraverso il tuo sito web.

Il tuo sito è conforme al GDPR? Scopri perché è importante e come proteggere i dati dei tuoi utenti.

Il sito Internet è uno strumento potente utilizzato dagli imprenditori per promuovere i propri servizi e mostrare le attività che svolgono. Tuttavia, spesso il sito web diventa anche un mezzo per raccogliere dati personali degli utenti, e questi dati devono essere trattati in modo corretto per evitare sanzioni e contestazioni spiacevoli.

Ma in quali situazioni il tuo sito web può raccogliere dati personali? Ecco alcuni esempi concreti:

1. Form contatti

Quando un potenziale cliente compila un form di contatto sul tuo sito, inserisce necessariamente dati come nome, cognome, telefono, email e altro ancora. Questi dati vengono raccolti e conservati dal titolare del sito. Anche se può sembrare un’azione banale, si tratta di un vero e proprio trattamento di dati personali e deve essere gestito in modo adeguato. In caso contrario, si rischia di incorrere in sanzioni.

2. Sezione “Lavora con noi”

Nella sezione dedicata alle opportunità di lavoro, oltre ai dati personali di base, spesso viene richiesto di allegare il curriculum vitae. Il CV contiene una grande quantità di informazioni personali, come nome, cognome, email, contatti e molto altro. Ma non solo! Il curriculum vitae può includere anche dati particolari, come quelli relativi a eventuali disabilità o condizioni di salute.

Attenzione alle dichiarazioni presenti nel CV! La semplice frase “autorizzo il trattamento dei miei dati personali ai sensi del GDPR” non è sufficiente a sollevare il titolare del sito da responsabilità in caso di illecito trattamento dei dati. Il titolare deve fornire un’informativa completa sul trattamento dei dati, conservarli nel rispetto delle norme e adempiere a una serie di obblighi previsti dalla legge.

3. Altri dati

Anche le richieste di registrazione a eventi, form e altre sezioni del sito possono comportare la raccolta di numerosi dati personali. Questi dati devono essere trattati e conservati in modo corretto per garantire la conformità al GDPR.

4. Raccolta dei consensi

Spesso sui siti web vengono raccolti consensi per l’invio di newsletter o per attività promozionali. È fondamentale che questi consensi siano acquisiti in modo corretto, con flag specifici e separati dalle informative. In caso contrario, si rischiano pesanti sanzioni.

Sei in grado di dimostrare di trattare e gestire correttamente i dati personali dei tuoi utenti? In caso di ispezione da parte del Garante della Privacy, su iniziativa autonoma o su richiesta di un concorrente o di clienti insoddisfatti, sarai in grado di provare di raccogliere, gestire, conservare e cancellare i dati in modo lecito?

Se hai dei dubbi sulla conformità del tuo sito web al GDPR, non esitare a contattare B&P Solution. I nostri esperti ti offriranno un’analisi approfondita del tuo sito, individuando eventuali criticità e fornendoti tutte le indicazioni necessarie per rendere il tuo sito pienamente conforme al GDPR. Ti guideremo passo dopo passo nel processo di adeguamento, assicurandoti la massima tranquillità e protezione dei dati personali dei tuoi utenti. Richiedi subito una consulenza personalizzata per mettere in sicurezza il tuo sito web!

Avv. Clementina Baroni